Pesquisadores de cibersegurança descobriram uma nova versão do malware ZLoader que utiliza um túnel do Sistema de Nomes de Domínio (DNS) para comunicações de comando e controle (C2), indicando que os atores de ameaças continuam a refinar a ferramenta após ressurgirem há um ano.
"O Zloader 2.9.4.0 adiciona melhorias notáveis, incluindo um protocolo de túnel DNS personalizado para comunicações C2 e um shell interativo que suporta mais de uma dúzia de comandos, o que pode ser valioso para ataques de ransomware", disse o Zscaler ThreatLabz em um relatório de terça-feira.
Essas modificações proporcionam camadas adicionais de resiliência contra detecção e mitigação.
ZLoader, também referido como Terdot, DELoader ou Silent Night, é um carregador de malware equipado com a capacidade de implantar payloads de próxima etapa.
Campanhas de malware distribuindo o malware foram observadas pela primeira vez em quase dois anos em setembro de 2023, após sua infraestrutura ter sido desativada.
Além de incorporar várias técnicas para resistir a esforços de análise, verificou-se que o malware faz uso de um algoritmo de geração de domínio (DGA) e toma medidas para evitar ser executado em hosts que diferem da infecção original, uma técnica também observada no trojan bancário Zeus, no qual se baseia.
Nos últimos meses, a distribuição do ZLoader tem sido cada vez mais associada a ataques de ransomware Black Basta, com atores de ameaças implantando o malware por meio de conexões de desktop remoto estabelecidas sob o pretexto de corrigir um problema de suporte técnico.
A firma de cibersegurança disse que descobriu um componente adicional na cadeia de ataque que envolve primeiro a implantação de um payload chamado GhostSocks, que é então usado para soltar o ZLoader.
"As técnicas anti-análise do Zloader, como verificações de ambiente e algoritmos de resolução de importação de API, continuam sendo atualizadas para evadir sandboxes de malware e assinaturas estáticas", disse a Zscaler.
Um novo recurso introduzido na versão mais recente do malware é um shell interativo que permite ao operador executar binários arbitrários, DLLs e shellcode, exfiltrar dados e encerrar processos.
Enquanto o Zloader continua a usar HTTPS com solicitações POST como o principal canal de comunicação C2, ele também vem com um recurso de túnel DNS para facilitar o tráfego de rede TLS criptografado usando pacotes DNS.
"Os métodos de distribuição do Zloader e um novo canal de comunicação de túnel DNS sugerem que o grupo está se concentrando cada vez mais em evadir a detecção", disse a empresa.
O grupo de ameaças continua adicionando novos recursos e funcionalidades para servir mais efetivamente como um corretor de acesso inicial para ransomware.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...